이것은 Ubuntu Online, Fedora Online, Windows 온라인 에뮬레이터 또는 MAC OS 온라인 에뮬레이터와 같은 여러 무료 온라인 워크스테이션 중 하나를 사용하여 OnWorks 무료 호스팅 제공업체에서 실행할 수 있는 sign-efi-sig-list 명령입니다.
프로그램:
이름
sign-efi-sig-list - EFI 서명 목록과 같은 보안 변수를 위한 서명 도구
개요
서명-efi-서명-목록 [-r] [-m] [-a] [-g ] [-o] [-t ] [-i ] [-c <crt
파일>] [-k <키 파일>] <efi 시그 명부 파일> <출력 파일>
기술
보안 업데이트에 대한 직접 업데이트를 위해 인증 헤더가 포함된 출력 파일을 생성합니다.
변하기 쉬운. 이 출력은 일반적인 키로 직접 서명되거나 분할될 수 있습니다.
다음을 사용한 외부 서명 -o and -i 옵션을 제공합니다.
옵션
-r 인증서는 x2048가 아닌 rsa509입니다. [구현되지 않음]
-m 타임스탬프 대신 단조로운 카운트를 사용하세요. [구현되지 않음]
-a 교체 대신 APPEND_WRITE용 변수를 준비합니다.
-o 서명하지 말고 서명할 정확한 번들의 파일을 출력하십시오.
-t
사용 시간 변수 업데이트의 타임스탬프로 존재하지 않는 경우
타임스탬프는 시스템 시간에서 가져옵니다. 다음과 같은 경우에 이 옵션을 사용해야 합니다.
분리된 서명을 수행하지 않으면 서명이 올바르지 않게 됩니다.
타임스탬프 불일치.
-i
생성된 번들의 분리된 서명(PEM 형식)을 가져옵니다. -o 그리고 완료
업데이트의 생성
-g
사용 서명 소유자 GUID로
-c
PEM 형식의 서명 인증서가 포함된 파일입니다.
-k
에 대한 키가 포함된 파일입니다. PEM 형식으로
사용 예
EFI 서명 목록으로 준비된 db에 대한 간단한 추가 업데이트에 서명하려면
DB.esl을 실행하고 DB.auth의 인증 헤더와 함께 결과를 출력합니다.
서명 efi 서명 목록 -a -c KEK.crt -k KEK.key db DB.esl DB.auth
같은 방법으로 분리 서명을 하려면
sign-efi-sig-list -a -t 'Jul 21 09:39:37 BST 2012' -o db DB.esl DB.forsig
이제 표준 openssl 방식으로 DB.forsig 파일에 서명합니다. 표준에는 다음이 필요합니다.
sha256을 서명 알고리즘으로 사용
openssl smime -sign -binary -in DB.forsig -out DB.signed -signer KEK.crt -inkey KEK.key
-결과 DER -md sha256
DB.signed에 분리된 PKCS7 서명이 생성됩니다. 이제 이것을 다시
동일한 타임스탬프(및 -a 플래그)를 유지하는 것을 기억하는 프로그램:
sign-efi-sig-list -a -i DB.signed -t 'Jul 21 09:39:37 BST 2012' db DB.auth
키를 삭제하려면 빈 EFI 서명 목록 파일에 서명하면 됩니다.
PK를 삭제하는 업데이트:
> null.esl
그런 다음 표준 방식으로 서명합니다(추가 쓰기 업데이트가 아니어야 함).
sign-efi-sig-list -c PK.crt -k PK.key PK null.esl PK.auth
.auth 파일이 UEFI 플랫폼에 전달되면 UpdateVars.efi를 사용할 수 있습니다.
그것을 적용하는 프로그램
UpdateVars [-a] db DB.auth
DB.auth 파일이 추가 쓰기로 생성된 경우 -a 플래그가 있어야 합니다.
변수를 대체하는 경우 업데이트되고 존재하지 않습니다.
onworks.net 서비스를 사용하여 온라인으로 sign-efi-sig-list를 사용하세요.
